محققان امنیت سایبری اولین روت‌کیت UEFI را در سطح اینترنت شناسایی کردند.

محققان امنیتی سایبری در ESET، ادعا کردند که اولین روت‌کیت UEFI که در سطح اینترنت مورد استفاده قرار می‌گیرد را شناسایی کردند که به مهاجمان اجازه می‌دهد تا دژافزارها را بر روی کامپیوترهای مورد هدف پیاده‌سازی کنند که می‌توانند منجر به پاک کردن تمام هارد درایو شوند.

این روت‌کیت  UEFI که LoJax نامیده شده است بخشی از یک کمپین دژافزاری است که توسط گروه بدنام Sednit که به نام‌های APT28 ،Fancy Bear، Strontium و Sofacy نیز شناخته می‌شود[۱-۳] و چندین سازمان دولتی در بالکان و همچنین در اروپای مرکزی و شرقی را هدف قرار داده است.

گروه Sednit که حداقل از سال ۲۰۰۷ فعالیت خود را آغاز کرده است[۴]، یک گروه هکری حمایت‌شده توسط دولت محسوب می‌شود که ادعا می‌شود بخشی از GRU⁽¹⁾ است که ادارۀ اطلاعات نظامی مخفی روسیه است. این گروه هکری با تعدادی از حملات گسترده اخیر، ازجمله هک DNC قبل از انتخابات ریاست جمهوری ۲۰۱۶ ایالات‌متحده مرتبط است[۵-۶].

UEFI یا Unified Extensible Firmware Interface (جایگزینی برای بایوس سنتی) یک هسته و اجزای حیاتی firmware از یک رایانه است که سخت‌افزار رایانه و سیستم‌عامل را در هنگام راه‌اندازی پیوند می‌دهد و به‌طورمعمول برای کاربران قابل‌دسترس نیست.

چگونه روت‌کیت UEFI یا همان  LoJaxکار می‎کند؟

بر اساس گفته محققان ESET، دژافزار LoJax توانایی نوشتن یک ماژول موذی UEFI را در حافظه فلش SPI سیستم دارد و اجازه می‌دهد firmware بایوس، این دژافزار را در داخل دیسک کامپیوتر و در طول فرآیند بوت شدن نصب و اجرا کند.

محققان ESET در یک وبلاگ که در تاریخ ۲۷ سپتامبر منتشر شده است، گفتند[۷]: “این ابزار وصله کردن با استفاده از تکنیک‌های مختلف برای سوء‌استفاده از سیستم‌عامل‌های به نادرستی تنظیم‌شده و یا برای دور زدن حفاظت از نوشتنِ پلتفرم استفاده می‌کند.”

ازآنجاکه روت‌کیت LoJax در چارچوب UEFI در معرض خطر قرار دارد و قبل از آنکه سیستم‌عامل حتی راه‌اندازی شود، سیستم را مجدداً آلوده می‌کند و درنتیجه نصب مجدد سیستم‌عامل، فرمت کردن هارددیسک یا حتی جایگزین کردن هارددیسک با یک هارد جدید برای پاک کردن این آلودگی کافی نخواهد بود.

فلش کردن firmware در معرض خطر با نرم‌افزار قانونی تنها راه حذف چنین روت‌کیت دژافزاری است که  معمولاً برای بسیاری از کاربران کامپیوتر کار ساده‌ای نیست.

LoJax اولین بار در اوایل سال ۲۰۱۷ کشف شد و یک نسخه تروجانی از یک نرم‌افزار قانونی ضد سرقت LoJack از Absolute Software است که عامل خود را درون بایوس سیستم نصب می‌کند تا از نصب مجدد سیستم‌عامل و یا جایگزین کردن درایو در امان باشد و مالک دستگاه را اگر که لپ‌تاپ به سرقت رفت، از محل آن باخبر کند.

بر طبق گفته محققان، مهاجمان اندکی نرم‌افزار LoJack را تغییر دادند تا قابلیت آن را برای دوباره نوشتن ماژول UEFI افزایش دهد و فرآیند پس‌زمینه را تغییر دهد که با سرور Absolute Software به‌منظور گزارش دادن به سرورهای C&C متعلق به Fancy Bear گزارش دهد.

محققان پس از تجزیه‌وتحلیل نمونه LoJax، دریافتند که نویسندگان آن با استفاده از یک جزء به نام ReWriter_binary برای بازنویسی تراشه‌های UEFI آسیب‌پذیر، کد فروشنده را با یک کد موذی متعلق به خودشان جابجا کردند.

محققین ESET دراین‌باره گفتند: “تمام نمونه‌های کوچک LoJax که ما توانستیم بازیابی کنیم، تروجان شده یک نمونه قانونی از عامل کوچک rpcnetp.exe بودند. همه آن‌ها یک نشانه زمانی تدوین مشابه دارند و فقط چند ده بایت متفاوت با نسخه اصلی هستند.”

علاوه بر تغییرات در فایل پیکربندی، تغییرات دیگری نیز شامل تعیین تایمر برای تعیین فاصله زمانی برای ارتباط با سرور C&C است.”

LoJax اولین کدی نیست که تراشه UEFI را مخفی کند، زیرا نشت اطلاعات یک تیم هکری در سال ۲۰۱۵ نشان داد[۷و۸] که این سازنده بدنام بدافزارهای جاسوسی در حقیقت UEFI persistence را با یکی از محصولاتش ارائه داده بود[۹].

همچنین، یکی از اسناد سیا که در سال گذشته توسط ویکی لیکس منتشر شد[۱۰]، بینش روشنی از تکنیک‌های استفاده‌شده توسط این آژانس برای به دست آوردن persistence بر روی دستگاه‌های Mac اپل، ازجمله Macs و آیفون‌ها، ثابت می‌کند که آن‌ها از EFI/UEFI و firmware دژافزارها استفاده می‌کنند.

بااین‌حال، بر اساس گفته ESET، نصب روت‌کیت LoJax که توسط محققانش کشف شده است، اولین مورد ثبت‌شده از rootkit فعال UEFI در سطح اینترنت است.

نحوه محافظت از رایانه شما در برابر Rootkit ها

همان‌طور که محققان ESET گفتند، هیچ راه آسانی برای حذف این تهدید از یک سیستم وجود ندارد.

ازآنجاکه روت‌کیتUEFI  به‌درستی امضا نشده است، کاربران می‌توانند خود را در برابر آلودگی LoJax با فعال کردن مکانیزم بوت امن محافظت کنند، که اطمینان حاصل می‌کند هر یک از اجزای بارگذاری شده توسط firmware به‌درستی با یک گواهی معتبر امضا شده است.

اگر شما در حال حاضر با چنین دژافزاری آلوده شده‌اید، تنها راه حذف این روت‌کیت این است که حافظه فلش SPI را با یک image تمیز firmware مشخص برای مادربرد رفع کنید، که یک پردازش بسیار حساس است که بایستی به‌صورت دستی و با دقت انجام شود.

راه جایگزین برای بازنویسی UEFI/BIOS، این است که شما می‌توانید مادربرد سیستم به خطر افتاده را به‌طور کامل جایگزین کنید.

محققان دراین‌باره نوشتند: “کمپین LoJax نشان می‌دهد که اهداف باارزش بالا، نامزد اصلی برای راه‌اندازی تهدیدات نادر و حتی منحصربه‌فرد هستند. این اهداف همیشه باید در جستجوی نشانه‌هایی از در معرض خطر قرار گرفتن باشند.”

برای اطلاع از جزئیات بیشتر در مورد ریشه LoJax، شما می‌توانید به مقاله‌ای با نام LoJax: First UEFI rootkit found in the wild, courtesy of the Sednit group که در روز پنج‌شنبه ۲۷ سپتامبر توسط محققان ESET منتشر شده است، مراجعه کنند[۱۱].

منابع

[۱] https://thehackernews.com/2017/11/apt28-office-dde-malware.html

[۲] https://apa.aut.ac.ir/?p=3182

[۳] https://thehackernews.com/2018/07/russia-election-hacking.html

[۴] https://thehackernews.com/2018/05/vpnfilter-botnet-malware.html

[۵] https://thehackernews.com/2017/02/xagent-malware-apt28.html

[۶] https://thehackernews.com/2017/11/dnc-email-russian-hackers.html

[۷] https://thehackernews.com/2016/07/hillary-clinton-hacked.html

[۸]https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group

[۹] https://thehackernews.com/2015/07/Italian-hacking-team-software.html

[۱۰] https://thehackernews.com/2015/07/hacking-uefi-bios-rootkit.html

[۱۱] https://thehackernews.com/2017/03/wikileaks-cia-mac-iphone-hacking.html

[۱۲] https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

(۱) General Staff Main Intelligence Directorate